全面Snort的配置与使用.pptVIP

-r tf 读取tcpdump方式产生的文件tf,这个方法用来得到一个Shadow(ShadowIDS产生)文件，因为这些文件不能用一般的EDIT来编辑查看。 -s LOG: 报警的记录到syslog中去，在LINUX机器上，这些警告信息会出现在/var/log/secure,在其它平台上将出现在/var/log/message中。　 -S n=v 设置变量值，这可以用来在命令行定义Snortrules文件中的变量，如要在Snortrules文件中定义变量HOME_NET,可以在命令行中给它预定义值。 最新.课件 * -v 使用为verbose模式，把信息包打印在console中，这个选项使用后会使速度很慢，这样结果在记录多的是时候会出现丢包现象。 -V 显示SNORT版本并退出。　 -？ 显示帮助信息。 -W Lists available interfaces. (Win32 only) 以上这些参数大多可组合进行使用。 最新.课件 * Snort入侵检测实例 1.实现快速嗅探　　在命令行输出检测到的IP/TCP/UDP/ICMP数据。　　如果想要把数据的包头信息在命令行显示，可以使用：　　　c:＼snort-v-i2 　　命令行中会打印出如下的数据： 　　=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+　　06/09-15:01:1361440_49:61440　　UDPTTL:64TOS:0x0ID:50650IpLen:20DgmLen:64　　Len:36 　　=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ 最新.课件 * 如果打开-d开关，将显示HEX和ASCII形式的应用数据（OSI模型的第七层），命令如下：　　　c:＼snort-vd-i2 命令行中会打印出如下的数据： 　 =+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+05/2516:25:22137_55:137　　UDPTTL:128TOS:0x0ID:34222IpLen:20DgmLen:78　　Len:50　　B4 52 01 10 00 01 00 00 00 00 00 00 20 44 46 45.R..........DFE　　44 45 43 44 47 45 43 44 41 44 48 44 4A 44 49 44 DECDGECDADHDJDID　　43 45 46 44 44 44 45 44 42 45 42 41 41 00 00 20 CEFDDDEDBEBAA.. 　　00 01　　　　　　　　　　　　　　　　　　　　　　..　　=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ 最新.课件 * 2.实现记录数据包先建立一个LOG目录，再使用下面的命令： c:＼snort＼bin-snort-de-l c:＼snort＼log-i2　　 注意这里少了-v选项，这意味着Snort将不在屏幕上显示输出信息。命令的前部分使Snort进入探测模式，它在c:＼snort＼log目录下为每个用户发起的连接创建文件。每个文件中包含的是以ASCII格式显示的流量信息。同时，在该目录下，会自动生成日志文件 最新.课件 * 前面的配置创建了基于文本的文件，其中包含流量的解码。利用下面的命令：  c:＼snort＼bin-snort-l c:＼snort＼log-b-i2 这时命令行会进入数据包记录界面，同时在c:＼snort＼log目录下会生成一个名如snort.log.1244770040的日志文件，所有的网络流量将以二进制的形式记录下来，并且以PCAP的格式写入到该日志文件中。 最新.课件 * 这样做的优点： (1)允许利用开放源码或者商业的探测器程序进行浏览，例如，Wireshark等。 (2)允许重放Snort或者探测程序。 (3)速度快，基本上Snort可以得到所有的流量并写入到文件。 　 最新.课件 * 现在，如果想重新读入刚刚创建的PCAP格式的文件，并且让Snort像前面那个例子那样解码，该怎么办呢？ 下面的命令可以把文件重新读入到Snort，用于解码： c:＼snort＼bin_snort-de-r snort.log.1244532070 另外也可以应用BPF过滤程序对日志文件进行过滤：c:＼snort＼bin - snort-de-F c:\filter -r snort.log.1244532070